Новости Эксплуатация на максимуме: 8 трендовых уязвимостей, выявленных в феврале

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Продукты Fortinet, Microsoft и Ivanti в фокусе анализа за прошлый месяц.


8q8cbtftcaen176p9giyabpn8wf9d895.jpg


В феврале эксперты Positive Technologies Для просмотра ссылки Войди или Зарегистрируйся к трендовым еще восемь уязвимостей. Это уже использовавшиеся в кибератаках уязвимости и те, эксплуатация которых прогнозируется в ближайшее время. К трендовым специалисты отнесли недостатки, обнаруженные в продуктах Fortinet , Microsoft и Ivanti .

Трендовыми уязвимостями называются наиболее опасные недостатки, которые нужно быстро устранить — или принять компенсирующие меры. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и актуализируют информацию из различных источников (баз уязвимостей, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и т. п.). В топ эксперты собрали уязвимости, которые активно эксплуатировались в прошлом месяце.

Уязвимость, связанная с удаленным выполнением кода, в FortiOS и FortiProxy

CVE-2024-21762 ( Для просмотра ссылки Войди или Зарегистрируйся — 9,8)

По Для просмотра ссылки Войди или Зарегистрируйся Shadowserver, количество устройств, на которых присутствует FortiOS SSL VPN, — более 465 000. В России это ПО выявлено на 2816 узлах.

Эксплуатация уязвимости позволяет неаутентифицированному злоумышленнику выполнить произвольный код с помощью специально созданных HTTP-запросов. По Для просмотра ссылки Войди или Зарегистрируйся , она уже используется в хакерских атаках. Ранее Fortinet Для просмотра ссылки Войди или Зарегистрируйся о том, что злоумышленники применяли похожую уязвимость в FortiOS для развертывания трояна удаленного доступа COATHANGER.

Согласно Для просмотра ссылки Войди или Зарегистрируйся Fortinet, чтобы устранить недостаток, требуется обновить ПО. В случае невозможности немедленного обновления, чтобы снизить риски, можно временно отключить SSL VPN на устройствах FortiOS.

Уязвимость, связанная с обходом функции безопасности Windows SmartScreen

CVE-2024-21351 (CVSS — 7,6)

Согласно Для просмотра ссылки Войди или Зарегистрируйся The Verge, уязвимость касается пользователей Windows версий 10 и 11. В результате ее эксплуатации нарушитель получает возможность обойти проверки Windows Defender SmartScreen. Недостаток используется для доставки вредоносного ПО в систему: злоумышленнику необходимо отправить цели вредоносный файл и убедить ее открыть содержимое.

Уязвимость, связанная с обходом функции безопасности ярлыков веб-страниц (файлов Internet Shortcut)

CVE-2024-21412 (CVSS — 8,1)

Уязвимость позволяет доставить вредоносное ПО в целевую систему. Microsoft Defender не предупреждает пользователя о том, что открывается файл с недоверенного ресурса (функция MoTW не срабатывает). Пользователя также может запутать то, что проводник отправляется в папке «Загрузки» (Downloads), хотя по факту она лежит на стороннем ресурсе.

Уязвимость Microsoft Outlook, приводящая к удаленному выполнению кода

CVE-2024-21413 (CVSS — 9.8)

Эксплуатация уязвимости позволяет удаленному злоумышленнику обойти встроенные проверки безопасности (Protected View) в Microsoft Outlook. Жертва открывает вредоносный документ в режиме редактирования, что приводит к удаленному выполнению кода в системе.

Уязвимость сервера Microsoft Exchange, приводящая к несанкционированному повышению привилегий

CVE-2024-21410 (CVSS — 9,8)

Уязвимость позволяет злоумышленнику провести атаку типа NTLM relay (перехватить аутентификационные данные, использующие протокол NTLM, и перенаправить их на другой сервер или сервис с целью получения несанкционированного доступа) и пройти аутентификацию на сервере Exchange.

По Для просмотра ссылки Войди или Зарегистрируйся Microsoft, зафиксированы факты эксплуатации всех вышеописанных уязвимостей. Кроме того, TrendMicro Для просмотра ссылки Войди или Зарегистрируйся эксплуатацию уязвимости CVE-2024-21412 APT-группировкой Water Hydra: ее фишинговые кампании были направлены на трейдеров финансовых рынков.

Для устранения уязвимостей требуется установить обновления безопасности, их можно скачать с Для просмотра ссылки Войди или Зарегистрируйся Microsoft.

Уязвимость, связанная с подделкой запроса со стороны сервера, в продуктах Ivanti Connect Secure, Ivanti Policy Secure и Ivanti Neurons for ZTA

CVE-2024-21893 (CVSS — 8,2)

Уязвимость присутствует в Ivanti Connect Secure, в компоненте Security Assertion Markup Language (SAML). Пятнадцатого января Volexity Для просмотра ссылки Войди или Зарегистрируйся , что нашла доказательства взлома более 1700 устройств, принадлежащих компаниям разного размера из разных отраслей (финансовым, государственным организациям, военным учреждениям и другим). По Для просмотра ссылки Войди или Зарегистрируйся Shadowserver, в сети работает более 19 500 устройств с Ivanti Connect Secure.

Злоумышленники могут использовать уязвимость, если на устройстве отсутствует аутентификация или установлена устаревшая версия xmltooling.

Уязвимость, связанная с обходом аутентификации в Ivanti Connect Secure, Ivanti Policy Secure

CVE-2023-46805 (CVSS — 8,2)

Эта уязвимость нулевого дня присутствует в версиях 9 и 22 Ivanti Connect Secure — ПО, позволяющего использовать личное устройство для работы. «Если CVE-2023-46805 эксплуатируется совместно с CVE-2024-21887, злоумышленнику не требуется аутентификация, злоумышленник может создавать вредоносные запросы и выполнять произвольные команды в системе без аутентификации», — Для просмотра ссылки Войди или Зарегистрируйся Ivanti.

Уязвимость, связанная с внедрением команд в Ivanti ICS, Ivanti Policy Secure

CVE-2024-21887 (CVSS — 9,1)

Это еще одна уязвимость нулевого дня в Ivanti Connect Secure версий 9 и 22. Она позволяет злоумышленнику, аутентифицированному в роли администратора, выполнять произвольные команды на устройстве и может быть проэксплуатирована через интернет. Используя ее в связке с CVE-2023-46805, нарушитель может удаленно выполнить код на узле без аутентификации. Таким образом злоумышленник получает доступ ко внутренней инфраструктуре организации, а также может провести атаку и зашифровать серверы.

Восьмого февраля Ivanti Для просмотра ссылки Войди или Зарегистрируйся , что устранила уязвимость, и выпустила обновления безопасности для Ivanti Connect Secure (версии 9.1R14.5, 9.1R17.3, 9.1R18.4, 22.4R2.3, 22.5R1.2, 22.5R2.3 и 22.6R2.2), Ivanti Policy Secure (версии 9.1R17.3, 9.1R18.4 и 22.5R1.2) и ZTA-шлюзов (версии 22.5R1.6, 22.6R1.5 и 22.6R1.7). Если установить обновления безопасности невозможно, следует использовать XML-файл, доступный для клиентов Ivanti. Он позволяет минимизировать последствия возможной эксплуатации уязвимости.

Агентство CISA Для просмотра ссылки Войди или Зарегистрируйся статью с вариантами снижения рисков и устранения уязвимости.
 
Источник новости
www.securitylab.ru

Похожие темы